电子邮件来源分析.docxVIP

电子邮件来源分析　　(河南省开封人民警察学校，河南开封475001)　　摘要：文章探讨了识别伪造电子邮件的方法，以帮助人们识别伪造的电子邮件。关键词：识别；电子邮件；伪造　　中图分类号：TP393.098文献标识码：A文章编号：1007—6921(XX)06—0114—02　　电子邮件是目前被广泛应用的一种通信形式，承载着大量通信信息，2000年的日平均发送量已高达100亿封，当然电子邮件也会被不法分子利用危害社会，我国XX、广东、湖北相继出现了多起利用电子邮件进行敲诈勒索的恶性案件，因此，对电子邮件查证、追源必然成为取证调查工作的重要内容。1电子邮件的基本工作原理　　TCP/IP协议应用层中包含的SMTP与传输系统和机制无关，仅要求可靠的数据流通道，在TCP上它使用端口25进行传输，SMTP的一个重要特点是可以在交互的通信系统中转发邮件。SMTP邮件传输机制允许将邮件直接传给对方，也允许通过一个或几个中间服务器转发，发件时首先由发件方提出申请，要求与收件方建立双向的通信渠道，收件方服务器确认建立连接后，双方可以开始通信。　　电子邮件与普通邮件有类似的地方，发信者需要注明收件人的姓名与地址，发送方服务器把邮件传到收件方服务器，收件方服务器再把邮件分发到收件人的邮箱中。在邮件传输过程中涉及帮助用户读写邮件的邮件用户代理MUA，负责把邮件从一个服务器传到另一个服务器或邮件投递代理的邮件传输代理MTA，把邮件分发到用户邮箱的邮件投递代理MDA，邮件传输过程示意如图1所示。　　如果下游服务器暂时不能接收邮件，邮件在传输代理的队列中暂存，等待以后发送。　　通过SMTP传送的电子邮件遵循RFC822定义的统一格式，该格式由消息头部、空白行和邮件消息主体组成。由于RFC822只能包含ASCII文本消息，限制了非文本文件的使用，人们在此基础上进行了必要的扩展，设计了多用途因特网邮件扩展，并在RFC1521中定义，MIME通过提供对不同数据类型及复杂消息体的支持扩展了电子邮件的概念。2电子邮件头解析　　邮件消息头部由独立的行组成，每行包括字段名，接着是冒号，然后是该字段有关的特定信息也称字段体。常见的头部字段名如表1、2所示，了解各个字段名的含义可以容易看懂电子邮件头部信息。　　740)this.width=740border=undefined　　740)this.width=740border=undefined　　740)this.width=740border=undefined　　电子邮件可以正确发送和接收的关键，是每一封电子邮件都包含有与发送和接收相关的详细信息头部，其中内容指示邮件正确到达目的地。当MTA收到邮件时，会在其顶部加上MTA的名字和当前时间以及其他一些技术信息，这些内容被称为Received头。每一个MTA在收到消息时都会在消息的顶部添加Received头，新的内容在最上面，第一个处理邮件的计算机位于邮件头的底部。　　在邮件头中包含两种确认发件人身份的关键信息，MessageID和Received。MessageID是全球惟一的标示，两个不同的电子邮件不会有相同的MessageID，MTA多使用当前日期和时间、MTA的域名、发件人的账户信息建立MessageID，如下所示：　　MessageID：为XX年5月9日用户C124从发出的电子邮件。3识别伪造电子邮件的方法　　伪造电子邮件有两种方式，一是伪造邮件内容，诱使别人上当，网络钓鱼犯罪活动其中很重要的一项任务就是伪造电子邮件；二是伪造电子邮件头信息，其目的是隐藏自己逃避打击。伪造电子邮件内容相当容易，伪造虚假的信息来源也不是十分困难，所以伪造内容的电子邮件一般也会同时伪造电子邮件头部信息。伪造电子邮件的简单方法如下：　　一台MTA使用简单邮件传输协议指示另一台MTA发送一封电子邮件到目的地最少仅需要4条命令，个人用户也可以用相同命令直接指挥一台MTA。下面是一个典型的电子邮件交互过程：　　(发送方)(接收方)　　220ESMTPSendmail8.9.3/8.9.1;Tue,16MayXX12:51:50-0700(EDT)　　HELO　　250H,pleasedtomeetyouMAILFROM:250...SenderokVRFY　　252CannotVRFYuser;tryRCPTtoattemptdelivery(ortryfinger)RCPTTO:250...RecipientokDATA　　354Entermail,endwith“.”OnalinebyitselfHi,　　JustaquickmessagetodemonstratesomeoftheSMTPcommands..　　250